Điều gì tồi tệ hơn ransomware? Một phần mềm độc hại giả dạng ransomware nhưng hoạt động như một phần mềm độc hại khác trong nền. Loại phần mềm độc hại này rất quỷ quyệt vì thành phần định hướng sai của nó. Trong khi nạn nhân đang bận rộn cố gắng tìm ra cách giải quyết sự lây nhiễm ransomware, phần mềm độc hại thực sự có thể tự do thực hiện nhiệm vụ của mình trong nền mà không bị phát hiện.
Đây chính xác là trường hợp của ransomware EvilQuest. Vì có thể dễ dàng phát hiện khi Mac có ransomware EvilQuest, phần mềm độc hại thực tế sẽ dễ dàng hoạt động hơn vì người dùng tập trung vào ransomware màn hình khói.
EvilQuest Ransomware trên Mac là gì
EvilQuest ransomware, còn được gọi là ThiefQuest, là một trong những dòng ransomware mới nhất được phát hiện vào tháng 6 năm 2020. Nó thường đi kèm với các bản sao lậu của các ứng dụng Mac phổ biến, bao gồm Little Snitch, Mixed in Key và Ableton Live. Ngoài tính năng đóng gói ứng dụng, nó còn bị phát hiện là chương trình Cập nhật phần mềm của Google.
EvilQuest hoạt động bằng cách mã hóa các tài liệu và tệp của nạn nhân bằng một thuật toán mật mã mạnh. Bạn sẽ được cảnh báo về sự hiện diện của ransomware khi bạn nhận được thông báo bật lên này:
Tệp của bạn đã được mã hóa
Nhiều tài liệu, ảnh, video, hình ảnh và các tệp quan trọng khác của bạn không thể truy cập được nữa vì chúng đã được mã hóa.
Có thể bạn đang bận tìm cách khôi phục tệp của mình, nhưng đừng lãng phí thời gian của bạn. Không ai có thể khôi phục tệp của bạn mà không có dịch vụ giải mã của chúng tôi.
Tuy nhiên, chúng tôi đảm bảo rằng bạn có thể khôi phục tệp của mình một cách an toàn và dễ dàng và điều này sẽ khiến bạn mất 50 USD mà không phải trả thêm bất kỳ khoản phí nào.
Ưu đãi của chúng tôi có hiệu lực TRONG 3 NGÀY (bắt đầu từ bây giờ!). Chi tiết đầy đủ có thể được tìm thấy trong tệp:READ_ME_NOW.txt nằm trên Màn hình của bạn
Nó cũng đưa ra một thông báo đòi tiền chuộc, có tên READ_ME_NOW.txt. Ghi chú nhắc lại những gì đã được đề cập trong thông báo bật lên, sau đó thêm các chi tiết khác về khoản thanh toán:
Chúng tôi sử dụng thuật toán AES 256-bit, vì vậy bạn sẽ mất hơn một tỷ năm để phá vỡ mã hóa này mà không cần biết khóa (bạn có thể đọc Wikipedia về AES nếu bạn đừng tin vào câu nói này).
Dù sao, chúng tôi đảm bảo rằng bạn có thể khôi phục tệp của mình một cách an toàn và dễ dàng. Việc này sẽ yêu cầu chúng tôi sử dụng một số công suất xử lý, điện năng và bộ lưu trữ từ phía chúng tôi, do đó, phí xử lý cố định là 50 USD. Đây là khoản thanh toán một lần, không bao gồm phí bổ sung.
Để chấp nhận ưu đãi này, bạn phải đặt cọc thanh toán trong vòng 72 giờ (3 ngày) sau khi nhận được tin nhắn này, nếu không ưu đãi này sẽ hết hạn và bạn sẽ mất tệp mãi mãi.
Thanh toán phải được gửi bằng Bitcoin dựa trên tỷ giá hối đoái Bitcoin / USD tại thời điểm thanh toán. Địa chỉ bạn phải thanh toán là:
13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Quá trình giải mã sẽ tự động bắt đầu trong vòng 2 giờ sau khi thanh toán được xử lý và sẽ mất từ 2 đến 5 giờ tùy thuộc vào khả năng xử lý của máy tính của bạn. Sau đó, tất cả các tệp của bạn sẽ được khôi phục.
ƯU ĐÃI NÀY CÓ HIỆU LỰC TRONG 72 GIỜ SAU KHI NHẬN ĐƯỢC TIN NHẮN NÀY
Hơn cả một Ransomware
Khi bạn nhìn vào ghi chú tiền chuộc, bạn sẽ ngay lập tức nhận thấy phí chuộc rất thấp. Nó không đáng kể so với khoản phí đòi tiền chuộc 980 đô la được yêu cầu bởi các biến thể ransomware từ họ ransomware STOP / Djvu hoặc phí chuộc từ 4.000 đến 8.000 đô la của phần mềm độc hại Locky. Ngoài ra, bạn sẽ nhận thấy rằng không có thông tin liên hệ nào được cung cấp trên ghi chú, vì vậy không có cách nào để nạn nhân liên hệ với kẻ tấn công.
Điều này khiến bạn tự hỏi liệu những kẻ tấn công có nghiêm túc với toàn bộ sự việc hay không. Yêu cầu 50 USD tiền chuộc có vẻ như là một trò đùa, khiến rất nhiều chuyên gia bảo mật nghi ngờ về bản chất thực sự của phần mềm độc hại này. Và sau khi phân tích sâu hơn, các nhà nghiên cứu bảo mật đã có thể xác nhận rằng EvilQuest Ransomware không chỉ là ransomware.
Nó có các chức năng và khả năng vượt xa việc mã hóa các tệp và yêu cầu số tiền chuộc có thể đo lường được. Khi xem xét kỹ hơn, hóa ra EvilQuest cũng đi kèm với chức năng ghi khóa và đánh cắp dữ liệu. Nó có thể thu thập hình ảnh của bạn, nhiều loại tài liệu văn bản, cơ sở dữ liệu, bản trình bày, bảng tính, ví tiền điện tử, bản sao lưu và các dữ liệu nhạy cảm khác. Phần mềm độc hại cũng có thể xác định xem nó hiện đang chạy trong một máy ảo và những giải pháp bảo mật nào hiện đang được cài đặt, cho phép nó thực hiện các chiến lược bền bỉ khác nhau.
Khi ransomware quét hệ thống của bạn và tìm thấy dữ liệu khớp với bất kỳ định dạng dữ liệu nào, nó sẽ ngay lập tức kết nối lén lút với dịch vụ lệnh của nó bằng cách mở một trình bao ngược lại. Phần mềm độc hại sử dụng điều này làm cửa hậu để tải xuống các tệp bổ sung trên máy Mac của bạn và xuất dữ liệu đã thu thập mà bạn không biết. Phần mềm độc hại thực hiện điều này đồng thời khóa một số tệp hệ thống, chuyển hướng sự chú ý của bạn khỏi những gì nó thực sự đang làm.
Dưới đây là một số tiện ích mở rộng được mã hóa bởi ransomware này:
.pdf, .doc, .txt, .jpg, .pem, .pages, .cer, .py, .h, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .keynote, .js , .crt, .php, .m, .hpp, .pptx, .cpp, .cs, .sqlite3, .pl, .p, .p3, .wallet, .html, .dat và những thứ khác.
Cách xóa EvilQuest Ransomware khỏi Mac
May mắn thay, nhiều phần mềm bảo mật hiện có thể phát hiện ransomware EvilQuest và xóa nó khỏi máy Mac của bạn. Bạn có thể sử dụng chương trình chống vi-rút của mình để xóa cả ransomware và các chức năng “bổ sung” (chức năng trình bao và keylogger đảo ngược) khỏi máy tính của mình. Malwarebytes là một trong những công cụ hiệu quả để loại bỏ ransomware EvilQuest Mac. Wardle’s RansomWhere? công cụ này cũng có thể phát hiện và ngăn chặn các quy trình mã hóa độc hại bởi phần mềm tống tiền EvilQuest. Thật không may, việc sử dụng các công cụ này sẽ dẫn đến mất mát dữ liệu đáng kể nếu bạn không có bản sao lưu các tệp của mình.
Nếu không có bản sao các tệp của mình, bạn có thể sử dụng trình giải mã EvilQuest do SentinelOne phát hành gần đây. Bạn có thể xem video demo ở đây để giúp bạn tìm ra cách sử dụng nó. Tuy nhiên, bạn vẫn cần xóa ransomware khỏi máy tính và dọn dẹp máy Mac trước khi sử dụng trình giải mã này vì thao tác này sẽ chỉ mở khóa tệp của bạn chứ không xóa phần mềm độc hại.
Tóm tắt
Ngày nay, phần mềm độc hại ngày càng trở nên sáng tạo và tinh vi hơn đến mức khó có thể xếp chúng đúng theo danh mục của chúng. EvilQuest ransomware là một ví dụ điển hình cho tình huống này. Vì vậy, nếu bạn nhận được thông báo rằng máy Mac của bạn đã bị lây nhiễm bởi bất kỳ loại phần mềm độc hại nào, hãy coi thường nó. Đảm bảo rằng bạn quét toàn bộ máy tính của mình và xóa tất cả các dấu vết của phần mềm độc hại nguy hiểm trên hệ thống của bạn.